Güvenlik Güncellemesi 2008-008/Mac OS X 10.5.6'nın güvenlik içeriği hakkında

Bu belgede Yazılım Güncellemesi tercihleri veya Apple İndirilenler sayfasından indirilip yüklenebilen Güvenlik Güncellemesi 2008-008/Mac OS X 10.5.6'nın güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

Güvenlik Güncellemesi 2008-008/Mac OS X 10.5.6

  • ATS

    CVE-ID: CVE-2008-4236

    İlgili sürümler: Mac OS X 10.5-10.5.5, Mac OS X Server 10.5-10.5.5

    Etki: Kötü amaçlarla oluşturulmuş gömülü font içeren bir PDF dosyasını görüntülemek veya indirmek, servis reddine neden olabilir

    Açıklama: Apple Type Services'ın PDF dosyalarındaki gömülü fontları işlemesinde sonsuz bir döngü oluşabilir. Kötü amaçlarla oluşturulmuş gömülü font içeren bir PDF dosyasını görüntülemek veya indirmek, servis reddine neden olabilir. Bu güncelleme, gömülü fontların ek doğrulaması yoluyla sorunu giderir. Bu sorun Mac OS X 10.5'ten önceki sürümlerin yüklü olduğu sistemleri etkilemez. Michael Samarin'e ve Futurice Ltd.den Mikko Vihonen'e bu sorunu bildirdikleri için teşekkür ederiz.

  • BOM

    CVE-ID: CVE-2008-4217

    İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5-10.5.5, Mac OS X Server 10.5-10.5.5

    Etki: Kötü amaçlarla oluşturulmuş bir CPIO arşivini indirmek veya görüntülemek, rastgele kod yürütülmesine veya uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

    Açıklama: BOM'un CPIO üst bilgilerini işlemesinde imzalanmış olma sorunu vardır. Bu sorun, yığın arabellek taşmasına neden olabilir. Kötü amaçlarla oluşturulmuş bir CPIO arşivini indirmek veya görüntülemek, rastgele kod yürütülmesine veya uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir. Bu güncelleme, CPIO üst bilgileri için ek doğrulama gerçekleştirerek sorunu giderir. Teşekkür: Apple.

  • CoreGraphics

    CVE-ID: CVE-2008-3623

    İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5-10.5.5, Mac OS X Server 10.5-10.5.5

    Etki: Kötü amaçlarla oluşturulmuş bir resmi görüntülemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: CoreGraphics'te renk alanlarının işlenmesinde bir yığın arabellek taşması sorunu vardır. Kötü amaçlarla oluşturulmuş bir resmi görüntülemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, sınır denetimini iyileştirerek sorunu giderir. Teşekkür: Apple.

  • CoreServices

    CVE-ID: CVE-2008-3170

    İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5-10.5.5, Mac OS X Server 10.5-10.5.5

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, kullanıcı kimlik bilgilerinin açığa çıkmasına neden olabilir

    Açıklama: Safari, web sitelerinin ülkeye özgü üst düzey alan adları için çerez ayarlamasına izin verir. Bu durum, uzaktaki bir saldırganın oturum sabitleme saldırısı gerçekleştirmesine ve kullanıcının kimlik bilgilerini ele geçirmesine neden olabilir. Bu güncelleme, etki alanı adları için ek doğrulama gerçekleştirerek sorunu giderir. iCab.de şirketinden Alexander Clauss'a bu sorunu bildirdiği için teşekkür ederiz.

  • CoreTypes

    CVE-ID: CVE-2008-4234

    İlgili sürümler: Mac OS X 10.5-10.5.5, Mac OS X Server 10.5-10.5.5

    Etki: Güvenli olmayan indirilmiş içerikleri başlatmaya çalışıldığında uyarı verilmez

    Açıklama: Mac OS X, güvenli olmayabilecek dosyaları belirtmek için İndirileni Doğrulama özelliği sağlar. Safari gibi uygulamalar, "güvenli olmayabilir" olarak işaretlenen dosyaları başlatmadan önce kullanıcıları uyarmak için İndirileni Doğrulama özelliğinden yararlanır. Bu güncelleme, güvenli olmayabilecek türler listesini genişletir. Çalıştırılabilir öğe izinlerine sahip olan ve belirli bir uygulama ilişkilendirmesi bulunmayan dosyalara yönelik içerik türünü ekler. Bu dosyalar, Terminal'i başlatacağından ve içerikleri komut olarak çalıştırılacağından güvenli olmayabilir. Bu dosyalar otomatik olarak başlatılmaz ancak elle açılırsa rastgele kod yürütülmesine neden olabilir. Mac OS X v10.5 öncesindeki sistemler bu sorundan etkilenmez.

  • Flash Player Plug-in

    CVE-2007-4324, CVE-2007-6243, CVE-2008-3873, CVE-2008-4401, CVE-2008-4503, CVE-2008-4818, CVE-2008-4819, CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823, CVE-2008-4824, CVE-2008-5361, CVE-2008-5362, CVE-2008-5363

    İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5-10.5.5, Mac OS X Server 10.5-10.5.5

    Etki: Adobe Flash Player yazılım ekinde birden fazla güvenlik açığı

    Açıklama: Adobe Flash Player yazılım ekinde birden fazla sorun bulunmaktadır. Bu sorunların en ciddi düzeyde olanı, kötü amaçlarla oluşturulmuş bir web sitesi görüntülendiğinde rastgele kod yürütülmesine neden olabilir. Mac OS 10.5 sistemlerinde Flash Player yazılım eki 9.0.151.0 güncellenerek sorunlar giderildi. Adobe web sitesinde daha ayrıntılı bilgi bulunabilir: http://www.adobe.com/support/security/bulletins/apsb08-20.html

  • Kernel

    CVE-ID: CVE-2008-4218

    İlgili sürümler: Mac OS X 10.5-10.5.5, Mac OS X Server 10.5-10.5.5

    Etki: Yerel kullanıcı sistem ayrıcalıkları elde edebilir

    Açıklama: i386_set_ldt ve i386_get_ldt sistem çağrılarında tamsayı taşması sorunları vardır. Bu sorunlar, yerel bir kullanıcının sistem ayrıcalıklarıyla rastgele kod yürütmesine izin verebilir. Bu güncelleme, sınır denetimini iyileştirerek sorunları giderir. Bu sorunlar, PowerPC sistemlerini etkilemez. IOActive, Inc. şirketinden Richard van Eeden'a bu sorunu bildirdiği için teşekkür ederiz.

  • Kernel

    CVE-ID: CVE-2008-4219

    İlgili sürümler: Mac OS X 10.5-10.5.5, Mac OS X Server 10.5-10.5.5

    Etki: Bir NFS paylaşımındaki dinamik arşivleri bağlayan bir çalıştırılabilir öğe çalıştırmak, sistemin beklenmedik şekilde kapanmasına neden olabilir

    Açıklama: NFS paylaşımında yer alan bir program için bir istisna oluşturulduğunda sonsuz bir döngü oluşabilir. Bu, sistemin beklenmedik şekilde kapanmasına neden olabilir. Bu güncelleme, istisnaların işlenmesini iyileştirerek sorunu giderir. Princeton Üniversitesi'nden Ben Loer'a bu sorunu bildirdiği için teşekkür ederiz.

  • Libsystem

    CVE-ID: CVE-2008-4220

    İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5-10.5.5, Mac OS X Server 10.5-10.5.5

    Etki: inet_net_pton API'sini kullanan uygulamalar, rastgele kod yürütmeye veya uygulamanın beklenmedik şekilde sonlandırılmasına karşı savunmasız olabilir

    Açıklama: Libsystem'ın inet_net_pton API'sinde tamsayı taşması sorunu vardır. Bu sorun, rastgele kod yürütülmesine veya API'yi kullanan uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir. Bu güncelleme, sınır denetimini iyileştirerek sorunu giderir. Bu API, genellikle güvenilir olmayan verilerle çağrılmaz ve bu sorunun kötüye kullanılabileceği bilinen bir örnek yoktur. Bu güncelleme, bu API'yi kullanan uygulamalara yönelik olası saldırı riskini azaltmak için sunulmuştur.

  • Libsystem

    CVE-ID: CVE-2008-4221

    İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5-10.5.5, Mac OS X Server 10.5-10.5.5

    Etki: strptime API'sini kullanan uygulamalar, rastgele kod yürütmeye veya uygulamanın beklenmedik şekilde sonlandırılmasına karşı savunmasız olabilir

    Description: Libsystem'ın strptime API'sinde bellek bozulması sorunu vardır. Kötü amaçlarla oluşturulmuş bir tarih dizgisini ayrıştırmak, rastgele kod yürütülmesine veya uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir. Bu güncelleme, bellek ayrımını iyileştirerek sorunu giderir. Teşekkür: Apple.

  • Libsystem

    CVE-ID: CVE-2008-1391

    İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5-10.5.5, Mac OS X Server 10.5-10.5.5

    Etki: strfmon API'sini kullanan uygulamalar, rastgele kod yürütmeye veya uygulamanın beklenmedik şekilde sonlandırılmasına karşı savunmasız olabilir

    Açıklama: Libsystem'ın strfmon uygulamasında birden fazla tamsayı taşması sorunu vardır. Strfmon API'sini dizgi değişkeni biçimindeki yüksek değerde belirli tamsayı alanlarıyla çağıran bir uygulama, beklenmedik şekilde sonlandırılabilir veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, sınır denetimini iyileştirerek sorunları giderir.

  • Managed Client

    CVE-ID: CVE-2008-4237

    İlgili sürümler: Mac OS X 10.5-10.5.5, Mac OS X Server 10.5-10.5.5

    Etki: Yönetilen ekran koruyucu ayarları uygulanmıyor

    Açıklama: Yönetilen istemci sistemindeki bir yazılımın, ana bilgisayara özel konfigürasyon bilgileri yükleme yöntemi her zaman sistemi doğru şekilde tanımlamaz. Yanlış tanımlanan sistemde, ekran koruyucu kilidi dahil olmak üzere bilgisayara özel ayarlar uygulanmaz. Bu güncelleme, Yönetilen İstemcinin doğru sistem tanımlamasını kullanmasını sağlayarak bu sorunu giderdi. Bu sorun, yerleşik Ethernet özellikli sistemleri etkilemez. ESRI'den John Barnes'a ve Tamman Technologies, Inc. şirketinden Trevor Lalish-Menagh'a bu sorunu bildirdikleri için teşekkür ederiz.

  • network_cmds

    CVE-ID: CVE-2008-4222

    İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5-10.5.5, Mac OS X Server 10.5-10.5.5

    Etki: İnternet Paylaşma etkinse uzaktaki bir saldırgan servis reddine neden olabilir

    Açıklama: Natd'de TCP paketlerinin işlenmesinde sonsuz bir döngü oluşabilir. İnternet Paylaşma etkinse uzaktaki bir saldırgan, kötü amaçlarla oluşturulmuş bir TCP paketi göndererek servis reddine neden olabilir. Bu güncelleme, TCP paketleri için ek doğrulama gerçekleştirerek sorunu giderir. Ohmantics'ten Alex Rosenberg'e ve Paizo Publishing'den Gary Teter'a bu sorunu bildirdikleri için teşekkür ederiz.

  • Podcast Producer

    CVE-ID: CVE-2008-4223

    İlgili sürümler: Mac OS X Server 10.5-10.5.5

    Etki: Uzaktaki bir saldıran, Podcast Producer'ın yönetici işlevlerine erişebilir

    Açıklama: Podcast Producer Server'da kimlik doğrulamayı atlatma sorunu vardır. Bu sorun, yetkisiz bir kullanıcının sunucuda yönetici işlevlerine erişmesine izin verebilir. Bu güncelleme, erişim sınırlamalarının işlenmesini iyileştirerek sorunu giderir. Podcast Producer, Mac OS X Server 10.5'te kullanıma sunulmuştur.

  • UDF

    CVE-ID: CVE-2008-4224

    İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5-10.5.5, Mac OS X Server 10.5-10.5.5

    Etki: ISO dosyası açmak, sistemin beklenmedik şekilde kapanmasına neden olabilir

    Açıklama: Hatalı UDF disk bölümlerinin işlenmesinde giriş doğrulama sorunu vardır. Kötü amaçlarla oluşturulmuş bir ISO dosyasını açmak sistemin beklenmedik şekilde kapanmasına neden olabilir. Bu güncelleme, giriş doğrulamayı iyileştirerek sorunu giderir. PCAX Solutions'dan Mauro Notarianni'ye bu sorunu bildirdiği için teşekkür ederiz.

Önemli: Üçüncü taraf web siteleri ve ürünlerinden yalnızca bilgi vermek amacıyla bahsedilmektedir ve bu herhangi bir onay veya öneri niteliği taşımaz. Apple, üçüncü taraf web sitelerinde bulunan ürünlerin seçilmesi, performansı veya kullanılması ya da bu sitelerde yer alan bilgilerin kullanılması konusunda hiçbir sorumluluk kabul etmez. Apple, bu bilgileri yalnızca kullanıcılarına kolaylık sağlamak amacıyla sunmaktadır. Apple, bu sitelerde bulunan bilgileri test etmemiştir ve bunların doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. İnternette bulunan herhangi bir bilgi veya ürünün kullanılması çeşitli riskler içerir ve Apple bu konuda hiçbir sorumluluk üstlenmez. Lütfen üçüncü taraf web sitelerinin Apple'dan bağımsız olduğunu ve Apple'ın bu sitelerdeki içerik üzerinde hiçbir denetimi olmadığını unutmayın. Ek bilgi için lütfen tedarikçiyle irtibata geçin.

Yayın Tarihi: